Fatal编程技术网
  • html/
  • Html XSS和元标记

Html XSS和元标记

html

Html XSS和元标记,html,xss,meta-tags,Html,Xss,Meta Tags,我们正在考虑允许我们的客户编辑CMS中页面的元数据。该插件允许客户在页面的头部插入元标记,并定义自己的名称和内容属性 <meta name="my_name" content="my_content"> 这安全吗?他们是否有任何XSS攻击可以利用这一点 干杯,小伙子们,姑娘们我发现这个插件没有html转义用户输入值。因此,您可以提供以下内容值: 0;url=http://www.google.com" http-equiv="refresh 要获得如下所示的元重定向: 我已

我们正在考虑允许我们的客户编辑CMS中页面的元数据。该插件允许客户在页面的头部插入元标记,并定义自己的名称和内容属性

<meta name="my_name" content="my_content">
这安全吗?他们是否有任何XSS攻击可以利用这一点

干杯,小伙子们,姑娘们

我发现这个插件没有html转义用户输入值。因此,您可以提供以下内容值:

0;url=http://www.google.com" http-equiv="refresh
要获得如下所示的元重定向:

我已经向插件开发人员报告了这个问题。

我不确定如何保存这些问题,但这是有风险的。没错。您可能还可以转义并创建一个脚本标记。